keyboard_tab Data Act 2023/2854 HR
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Članak 3. Obveza osiguravanja pristupa korisniku podacima proizvoda i podacima o povezanim uslugama
- 3 Članak 4. Prava i obveze korisnikâ i imateljâ podataka u pogledu pristupa podacima proizvoda i podacima o povezanim uslugama, uporabe tih podataka i njihova stavljanja na raspolaganje
- 2 Članak 5. Pravo korisnika na dijeljenje podataka s trećim stranama
- 2 Članak 17. Zahtjevi za stavljanje podataka na raspolaganje
- 1 Članak 18. Ispunjavanje zahtjevâ za podatke
- 1 Članak 20. Naknada u slučaju iznimne potrebe
- 1 Članak 21. Dijeljenje podataka pribavljenih u kontekstu iznimne potrebe s istraživačkim organizacijama ili tijelima za statistiku
- 1 Članak 22. Uzajamna pomoć i prekogranična suradnja
- 1 Članak 37. Nadležna tijela i koordinatori podataka
POGLAVLJE I.
OPĆE ODREDBE
POGLAVLJE II.
DIJELJENJE PODATAKA IZMEĐU PODUZEĆA I POTROŠAČA TE MEĐU PODUZEĆIMA
POGLAVLJE III.
OBVEZE IMATELJA PODATAKA KOJI SU U SKLADU S PRAVOM UNIJE OBVEZNI STAVITI PODATKE NA RASPOLAGANJE
POGLAVLJE IV.
NEPOŠTENE UGOVORNE ODREDBE POVEZANE S PRISTUPOM PODACIMA I NJIHOVOM UPORABOM MEĐU PODUZEĆIMA
POGLAVLJE V.
STAVLJANJE PODATAKA NA RASPOLAGANJE TIJELIMA JAVNOG SEKTORA, KOMISIJI, EUROPSKOJ SREDIŠNJOJ BANCI I TIJELIMA UNIJE NA TEMELJU IZNIMNE POTREBE
POGLAVLJE VI.
PROMJENA USLUGE OBRADE PODATAKA
POGLAVLJE VII.
NEZAKONITI MEĐUNARODNI PRISTUP TIJELA VLASTI NEOSOBNIM PODACIMA I NEZAKONITI MEĐUNARODNI PRIJENOS NEOSOBNIH PODATAKA TIJELIMA VLASTI
POGLAVLJE VIII.
INTEROPERABILNOST
POGLAVLJE IX.
PROVEDBA I IZVRŠAVANJE
POGLAVLJE X.
PRAVO SUI GENERIS NA TEMELJU DIREKTIVE 96/9/EZ
POGLAVLJE XI.
ZAVRŠNE ODREDBE
- podataka 176
- podatke 62
- skladu 54
- koji 46
- tijelo 46
- imatelj 45
- koje 42
- raspolaganje 35
- tijela 35
- temelju 34
- unije 34
- javnog 32
- uredbe 31
- sektora 31
- zahtjev 29
- ovog 28
- člankom 26
- može 25
- zahtjeva 23
- imatelja 22
- podacima 22
- korisnika 20
- podaci 20
- članice 19
- nepotrebne 19
- odgode 19
- kojoj 18
- stavka 17
- tijelu 17
- potrebne 16
- proizvoda 16
- među 16
- stavkom 16
- države 16
- ako 15
- korisnik 15
- kako 15
- nadležno 15
- banka 15
- relevantno 15
- mjere 15
- članka 15
- tajne 15
- središnja 15
- komisija 15
- europska 15
- strane 14
- članka 14
- primjene 14
- ostalim 14
Članak 3.
Obveza osiguravanja pristupa korisniku podacima proizvoda i podacima o povezanim uslugama
1. Povezani proizvodi osmišljavaju se i proizvode, a povezane usluge osmišljavaju se i pružaju tako da su podaci proizvoda i podaci o povezanim uslugama, uključujući relevantne metapodatke potrebne za tumačenje i uporabu tih podataka, dostupni korisniku automatski, na jednostavan i siguran način, besplatno, u sveobuhvatnom, strukturiranom, uobičajenom i strojno čitljivom formatu, te da su mu, ako je to relevantno i tehnički izvedivo, izravno dostupni.
2. Prije sklapanja ugovora o kupoprodaji, najmu ili leasingu povezanog proizvoda, prodavatelj, najmodavac ili davatelj leasinga, koji mogu biti proizvođač, pruža korisniku barem informacije o sljedećem, na jasan i razumljiv način:
| (a) | vrsti, formatu i procijenjenoj količini podataka proizvoda koje povezani proizvod može generirati; |
| (b) | može li povezani proizvod generirati podatke kontinuirano i u stvarnom vremenu; |
| (c) | može li povezani proizvod pohranjivati podatke na uređaju ili na udaljenom poslužitelju, uključujući, ako je to primjenjivo, predviđeno trajanje zadržavanja; |
| (d) | načinu na koji korisnik može pristupiti podacima, dohvatiti podatke ili ih, ako je to relevantno, obrisati, uključujući tehnička sredstva s pomoću kojih se to može učiniti kao i njihove uvjete za uporabu i kvalitetu usluge. |
3. Prije sklapanja ugovora o pružanju povezane usluge pružatelj takve povezane usluge pruža korisniku barem informacije o sljedećem, na jasan i razumljiv način:
| (a) | prirodi, procijenjenoj količini i učestalosti prikupljanja podataka proizvoda za koje se očekuje da će ih potencijalni imatelj podataka pribaviti i, ako je to relevantno, aranžmanima za pristup korisnika takvim podacima ili dohvaćanje takvih podataka, među ostalim i aranžmanima za pohranu potencijalnog imatelja podataka i trajanju zadržavanja podataka; |
| (b) | prirodi i procijenjenoj količini podataka o povezanim uslugama koje je potrebno generirati i aranžmanima za pristup korisnika takvim podacima ili dohvaćanje takvih podataka, među ostalim i aranžmanima za pohranu potencijalnog imatelja podataka i trajanju zadržavanja podataka; |
| (c) | tome očekuje li potencijalni imatelj podataka da će on sam upotrebljavati lako dostupne podatke i o svrhama u koje se ti podaci moraju upotrebljavati te o tome namjerava li dopustiti jednoj ili više trećih strana da upotrebljavaju podatke u svrhe dogovorene s korisnikom; |
| (d) | identitetu potencijalnog imatelja podataka, kao što su njegov trgovački naziv i geografska adresa na kojoj ima poslovni nastan, i, ako je to primjenjivo, drugih strana koje obrađuju podatke; |
| (e) | sredstvima komunikacije kojima se omogućuju brzo stupanje u kontakt s potencijalnim imateljem podataka i učinkovita komunikacija s njim; |
| (f) | načinu na koji korisnik može zatražiti da se podaci dijele s trećom stranom, i ako je to primjenjivo, da se obustavi dijeljenje podataka; |
| (g) | pravu korisnika da nadležnom tijelu imenovanom u skladu s člankom 37. podnese pritužbu zbog navodne povrede bilo koje od odredbi ovog poglavlja; |
| (h) | tome je li potencijalni imatelj podataka nositelj poslovnih tajni sadržanih u podacima kojima se može pristupiti preko povezanog proizvoda ili koji su generirani tijekom pružanja povezane usluge i, ako potencijalni imatelj podataka nije nositelj poslovne tajne, identitet nositelja poslovne tajne; |
| (i) | trajanju ugovora između korisnika i potencijalnog imatelja podataka te aranžmanima za raskid takvog ugovora. |
Članak 4.
Prava i obveze korisnikâ i imateljâ podataka u pogledu pristupa podacima proizvoda i podacima o povezanim uslugama, uporabe tih podataka i njihova stavljanja na raspolaganje
1. Ako korisnik ne može izravno pristupiti podacima iz povezanog proizvoda ili povezane usluge, imatelji podataka korisniku bez nepotrebne odgode stavljaju na raspolaganje lako dostupne podatke, kao i relevantne metapodatke potrebne za tumačenje i uporabu tih podataka, jednake kvalitete koja je dostupna imatelju podataka, na jednostavan i siguran način, besplatno, u sveobuhvatnom, strukturiranom, uobičajenom i strojno čitljivom formatu te, ako je to relevantno i tehnički izvedivo, kontinuirano i u stvarnom vremenu. To se provodi na temelju običnog zahtjeva upućenog elektroničkim putem ako je to tehnički izvedivo.
2. Korisnici i imatelji podataka mogu ugovorom ograničiti ili zabraniti pristup podacima, njihovu uporabu ili daljnje dijeljenje ako bi takva obrada mogla ugroziti sigurnosne zahtjeve povezanog proizvoda, kako su utvrđeni pravom Unije ili nacionalnim pravom, što bi dovelo do teškog štetnog učinka na zdravlje, sigurnost ili zaštitu fizičkih osoba. Sektorska tijela mogu u tom kontekstu pružiti korisnicima i imateljima podataka tehničko stručno znanja. Ako imatelj podataka odbije dijeliti podatke u skladu s ovim člankom, o tome obavješćuje nadležno tijelo imenovano u skladu s člankom 37.
3. Ne dovodeći u pitanje pravo korisnika da u bilo kojem trenutku zatraži pravnu zaštitu pred sudom države članice, korisnik može, u vezi sa svakim sporom s imateljem podataka koji se odnosi na ugovorna ograničenja ili zabrane iz stavka 2.:
| (a) | u skladu s člankom 37. stavkom 5. točkom (b) podnijeti pritužbu nadležnom tijelu; ili |
| (b) | dogovoriti se s imateljem podataka da se predmet uputi tijelu za rješavanje sporova u skladu s člankom 10. stavkom 1. |
4. Imatelji podataka ne smiju neopravdano otežavati ostvarivanje izborâ ili prava korisnika na temelju ovog članka, među ostalim i nuđenjem izborâ korisniku na način koji nije neutralan ili potkopavanjem ili narušavanjem autonomije, odlučivanja ili izborâ korisnika putem strukture, dizajna, funkcije ili načina rada korisničkog digitalnog sučelja ili njegova dijela.
5. Kako bi se provjerilo ispunjava li fizička ili pravna osoba uvjete da bi se smatrala korisnikom za potrebe stavka 1., imatelj podataka ne smije zahtijevati od te osobe da pruži nikakve informacije osim onih koje su potrebne. Imatelji podataka ne smije čuvati nikakve informacije, osobito evidencijske podatke, o pristupu korisnika traženim podacima osim onih koje su potrebne za ispravno izvršavanje korisnikova zahtjeva za pristup te za sigurnost i održavanje podatkovne infrastrukture.
6. Poslovne tajne čuvaju se i otkrivaju trećim stranama samo ako, prije otkrivanja, imatelj podataka i korisnik poduzmu sve potrebne mjere za očuvanje povjerljivosti poslovnih tajni, osobito u odnosu na treće strane. Imatelj podataka ili, ako nije riječ o istoj osobi, nositelj poslovne tajne, identificira podatke koji su zaštićeni kao poslovne tajne, među ostalim u relevantnim metapodacima, i dogovara s korisnikom razmjerne tehničke i organizacijske mjere potrebne za očuvanje povjerljivosti podijeljenih podataka, posebno u odnosu na treće strane, kao što su modeli ugovornih odredbi, sporazumi o povjerljivosti, strogi protokoli o pristupu, tehnički standardi i primjena kodeksa ponašanja.
7. Ako se ne postigne sporazum o potrebnim mjerama iz stavka 6. ili ako korisnik ne provede mjere dogovorene u skladu sa stavkom 6. ili ugrozi povjerljivost poslovnih tajni, imatelj podataka može uskratiti ili, ovisno o slučaju, suspendirati dijeljenje podataka koji su identificirani kao poslovne tajne. Odluka imatelja podataka mora biti propisno obrazložena i mora se dostaviti korisniku u pisanom obliku bez nepotrebne odgode. U takvim slučajevima imatelj podataka obavješćuje nadležno tijelo imenovano u skladu s člankom 37. da je uskratio ili suspendirao dijeljenje podataka i navodi koje mjere nisu dogovorene ili provedene te, ako je to relevantno, za koje je poslovne tajne ugrožena povjerljivost.
8. U iznimnim okolnostima, ako imatelj podataka koji je nositelj poslovne tajne može dokazati da će vrlo vjerojatno pretrpjeti tešku ekonomsku štetu od otkrivanja poslovnih tajni, unatoč tehničkim i organizacijskim mjerama koje je poduzeo korisnik u skladu sa stavkom 6. ovog članka, taj imatelj podataka može na pojedinačnoj osnovi odbiti zahtjev za pristup dotičnim podacima. Taj dokaz mora biti propisno obrazložen na temelju objektivnih elemenata, posebno izvršivosti zaštite poslovnih tajni u trećim zemljama, prirodi i razini povjerljivosti traženih podataka te jedinstvenosti i inovativnosti povezanog proizvoda te se mora dostaviti korisniku u pisanom obliku bez nepotrebne odgode. Ako imatelj podataka odbije podijeliti podatke u skladu s ovim stavkom, o tome obavješćuje nadležno tijelo imenovano u skladu s člankom 37.
9. Ne dovodeći u pitanje pravo korisnika da u bilo kojem trenutku zatraži pravnu zaštitu pred sudom države članice, korisnik koji želi osporiti odluku imatelja podataka da odbije ili da uskrati ili da suspendira dijeljenje podataka u skladu sa stavcima 7. i 8., može:
| (a) | u skladu s člankom 37. stavkom 5. točkom (b) podnijeti pritužbu nadležnom tijelu koje bez nepotrebne odgode odlučuje mora li se i pod kojim uvjetima dijeljenje podataka započeti ili nastaviti; ili |
| (b) | dogovoriti se s imateljem podataka da se predmet uputi tijelu za rješavanje sporova u skladu s člankom 10. stavkom 1. |
10. Korisnik ne smije upotrebljavati podatke pribavljene na temelju zahtjeva iz stavka 1. za razvoj povezanog proizvoda koji je u konkurenciji s proizvodom iz kojeg podaci potječu, ne smije dijeliti te podatke s trećom stranom s tom namjerom te ne smije upotrebljavati takve podatke kako bi stekao uvid u gospodarsko stanje, imovinu i proizvodne metode proizvođača, ili ako je to primjenjivo, imatelja podataka.
11. Korisnik ne smije radi dobivanja pristupa podacima primjenjivati sredstva prisile ili zloupotrebljavati nedostatke u tehničkoj infrastrukturi imatelja podataka namijenjenoj zaštiti podataka.
12. Ako korisnik nije ispitanik čiji se osobni podaci traže, imatelj podataka sve osobne podatke generirane uporabom povezanog proizvoda ili povezane usluge stavlja na raspolaganje korisniku samo ako postoji valjana pravna osnova za obradu u skladu s člankom 6. Uredbe (EU) 2016/679 i, ako je to relevantno, ako su ispunjeni uvjeti iz članka 9. te uredbe i članka 5. stavka 3. Direktive 2002/58/EZ.
13. Imatelj podataka smije upotrebljavati lako dostupne podatke koji su neosobni podaci samo na temelju ugovora s korisnikom. Imatelj podataka ne smije upotrebljavati takve podatke kako bi stekao uvid u gospodarsko stanje, imovinu i proizvodne metode korisnika ili korisnikovu uporabu tih podataka na bilo koji drugi način kojim bi se mogao ugroziti poslovni položaj tog korisnika na tržištima na kojima je korisnik aktivan.
14. Imatelji podataka ne smiju stavljati na raspolaganje neosobne podatke proizvoda trećim stranama u komercijalne ili nekomercijalne svrhe osim radi ispunjenja svojeg ugovora s korisnikom. Ako je to relevantno, imatelji podataka ugovorom obvezuju treće strane da ne dijele dalje podatke koje su dobili od njih.
Članak 5.
Pravo korisnika na dijeljenje podataka s trećim stranama
1. Imatelj podataka na zahtjev korisnika ili strane koja djeluje u ime korisnika trećoj strani bez nepotrebne odgode stavlja na raspolaganje lako dostupne podatke, kao i relevantne metapodatke potrebne za tumačenje i uporabu tih podataka, jednake kvalitete koja je dostupna imatelju podataka, na jednostavan i siguran način, besplatno za korisnika, u sveobuhvatnom, strukturiranom, uobičajenom i strojno čitljivom formatu te, ako je to relevantno i tehnički izvedivo, kontinuirano i u stvarnom vremenu. Imatelj podataka stavlja podatke na raspolaganje trećoj strani u skladu s člancima 8. i 9.
2. Stavak 1. ne primjenjuje se na lako dostupne podatke u kontekstu ispitivanja novih povezanih proizvoda, tvari ili postupaka koji još nisu stavljeni na tržište, osim ako je njihova uporaba dopuštena trećoj strani ugovorom.
3. Svaki poduzetnik za kojeg je utvrđen status nadzornika pristupa u skladu s člankom 3. Uredbe (EU) 2022/1925 nije prihvatljiva treća strana na temelju ovog članka i stoga ne smije:
| (a) | vrbovati ili komercijalno poticati korisnika na bilo koji način, među ostalim i pružanjem novčane ili bilo koje druge naknade, da podatke koje je korisnik pribavio na temelju zahtjeva iz članka 4. stavka 1. stavi na raspolaganje za jednu od njegovih usluga; |
| (b) | vrbovati ili komercijalno poticati korisnika da od imatelja podataka zatraži da stavi podatke na raspolaganje za jednu od njegovih usluga u skladu sa stavkom 1. ovog članka; |
| (c) | primati podatke od korisnika koje je korisnik pribavio na temelju zahtjeva iz članka 4. stavka 1. |
4. Kako bi se provjerilo ispunjava li fizička ili pravna osoba uvjete da bi se smatrala korisnikom odnosno trećom stranom za potrebe stavka 1., korisnik ili treća strana nisu obvezni pružiti nikakve informacije osim onih koje su potrebne. Imatelji podataka ne smiju čuvati nikakve informacije, osobito evidencijske podatke, o pristupu treće strane traženim podacima osim onih koje su potrebne za ispravno izvršavanje zahtjeva treće strane za pristup te za sigurnost i održavanje podatkovne infrastrukture.
5. Treća strana ne smije radi dobivanja pristupa podacima primjenjivati sredstva prisile ili zloupotrebljavati nedostatke u tehničkoj infrastrukturi imatelja podataka namijenjenoj zaštiti podataka.
6. Imatelj podataka ne smije upotrebljavati lako dostupne podatke kako bi stekao uvid u gospodarsko stanje, imovinu i proizvodne metode ili uporabu, na bilo koji drugi način, tih podataka od strane treće strane kojim bi se mogao ugroziti poslovni položaj treće strane na tržištima na kojima je treća strana aktivna, osim ako je treća strana dala dopuštenje za takvu uporabu i ako ima tehničku mogućnost u svakom trenutku jednostavno povući to dopuštenje.
7. Ako korisnik nije ispitanik čiji se osobni podaci traže, sve osobne podatke generirane uporabom povezanog proizvoda ili povezane usluge imatelj podataka stavlja na raspolaganje trećoj strani samo ako postoji valjana pravna osnova za obradu u skladu s člankom 6. Uredbe (EU) 2016/679 i, ako je to relevantno, ako su ispunjeni uvjeti iz članka 9. te uredbe i članka 5. stavka 3. Direktive 2002/58/EZ.
8. Ako se imatelj podataka i treća strana ne dogovore o aranžmanima za prijenos podataka, to ne smije otežavati, sprečavati ili ometati ostvarivanje pravâ ispitanika na temelju Uredbe (EU) 2016/679 te posebno prava na prenosivost podataka u skladu s člankom 20. te uredbe.
9. Poslovne tajne čuvaju se i otkrivaju se trećim stranama samo u mjeri u kojoj je takvo otkrivanje nužno za ispunjavanje svrhe o kojoj su se dogovorili korisnik i treća strana. Imatelj podataka ili, ako nije riječ o istoj osobi, nositelj poslovne tajne, identificira podatke koji su zaštićeni kao poslovne tajne, među ostalim i u relevantnim metapodacima, i dogovara s trećom stranom sve razmjerne tehničke i organizacijske mjere potrebne za očuvanje povjerljivosti podijeljenih podataka, kao što su modeli ugovornih odredbi, sporazumi o povjerljivosti, strogi protokoli o pristupu, tehnički standardi i primjena kodeksa ponašanja.
10. Ako se ne postigne sporazum o potrebnim mjerama iz stavka 9. ovog članka ili ako treća strana ne provede mjere dogovorene u skladu sa stavkom 9. ovog članka ili ugrozi povjerljivost poslovnih tajni, imatelj podataka može uskratiti ili, ovisno o slučaju, suspendirati dijeljenje podataka koji su identificirani kao poslovne tajne. Odluka imatelja podataka mora biti propisno obrazložena i mora se dostaviti trećoj strani u pisanom obliku bez nepotrebne odgode. U takvim slučajevima imatelj podataka obavješćuje nadležno tijelo imenovano u skladu s člankom 37. da je uskratio ili suspendirao dijeljenje podataka i navodi koje mjere nisu dogovorene ili provedene te, ako je to relevantno, za koje je poslovne tajne ugrožena povjerljivost.
11. U iznimnim okolnostima, ako imatelj podataka koji je nositelj poslovne tajne može dokazati da će vrlo vjerojatno pretrpjeti tešku gospodarsku štetu od otkrivanja poslovnih tajni, unatoč tehničkim i organizacijskim mjerama koje je poduzela treća strana u skladu sa stavkom 9. ovog članka, taj imatelj podataka može na pojedinačnoj osnovi odbiti zahtjev za pristup dotičnim podacima. Taj dokaz mora biti propisno obrazložen na temelju objektivnih elemenata, posebno izvršivosti zaštite poslovnih tajni u trećim zemljama, prirodi i razini povjerljivosti traženih podataka te jedinstvenosti i inovativnosti povezanog proizvoda te se mora dostaviti trećoj strani u pisanom obliku bez nepotrebne odgode. Ako imatelj podataka odbije podijeliti podatke u skladu s ovim stavkom, o tome obavješćuje nadležno tijelo imenovano u skladu s člankom 37.
12. Ne dovodeći u pitanje pravo treće strane da u bilo kojem trenutku zatraži pravnu zaštitu pred sudom države članice, treća strana koja želi osporiti odluku imatelja podataka da odbije ili da uskrati ili suspendira dijeljenje podataka u skladu sa stavcima 10. i 11., može učiniti sljedeće:
| (a) | u skladu s člankom 37. stavkom 5. točkom (b) podnijeti pritužbu nadležnom tijelu koje bez nepotrebne odgode odlučuje mora li se i pod kojim uvjetima dijeljenje podataka započeti ili nastaviti; ili |
| (b) | dogovoriti se s imateljem podataka da se predmet uputi tijelu za rješavanje sporova u skladu s člankom 10. stavkom 1. |
13. Pravo iz stavka 1. ne smije negativno utjecati na prava ispitanika na temelju primjenjivog prava Unije o zaštiti osobnih podataka i primjenjivog nacionalnog prava o zaštiti osobnih podataka.
Članak 17.
Zahtjevi za stavljanje podataka na raspolaganje
1. Kad zahtijeva podatke na temelju članka 14., tijelo javnog sektora, Komisija, Europska središnja banka ili tijelo Unije:
| (a) | navodi koji se podaci zahtijevaju, uključujući relevantne metapodatke potrebne za tumačenje i uporabu tih podataka; |
| (b) | dokazuje da su ispunjeni potrebni uvjeti za postojanje iznimne potrebe kako je navedeno u članku 15. u čiju su svrhu podaci zatraženi; |
| (c) | objašnjava svrhu zahtjeva, predviđenu uporabu traženih podataka, među ostalim, ako je to primjenjivo, upotrebljava li ih treća strana u skladu sa stavkom 4. ovog članka, trajanje te uporabe i, ako je to relevantno, način na koji se obradom osobnih podataka odgovara na iznimnu potrebu; |
| (d) | navodi, ako je moguće, kada se očekuje da će sve stranke koje imaju pristup podacima izbrisati podatke; |
| (e) | obrazlaže odabir imatelja podataka kojem je zahtjev upućen; |
| (f) | navodi sva druga tijela javnog sektora ili Komisiju, Europsku središnju banku ili tijela Unije i treće strane za koje se očekuje da se traženi podaci s njima dijele; |
| (g) | ako su zatraženi osobni podaci, navodi sve tehničke i organizacijske mjere koje su potrebne i razmjerne za provedbu načelâ zaštite podataka i potrebne zaštitne mjere, kao što je pseudonimizacija, te može li imatelj podataka primijeniti anonimizaciju prije stavljanja podataka na raspolaganje; |
| (h) | navodi pravnu odredbu kojom se tijelu javnog sektora, Komisiji, Europskoj središnjoj banci ili tijelu Unije koji su podnijeli zahtjev dodjeljuje specifična zadaća koja se obavlja u javnom interesu, a koja je relevantna za zahtjev za podatke; |
| (i) | navodi rok do kojeg se podaci moraju staviti na raspolaganje i rok iz članka 18. stavka 2. do kojeg imatelj podataka može odbiti zahtjev ili zatražiti njegovu izmjenu; |
| (j) | ulaže maksimalne napore za izbjegavanje da ispunjavanje zahtjeva za podatke dovede do odgovornosti imatelja podataka za povredu prava Unije ili nacionalnog prava. |
2. Zahtjev za podatke podnesen na temelju stavka 1. ovog članka:
| (a) | podnosi se u pisanom obliku i sastavljen je na jasnom, jezgrovitom i jednostavnom jeziku razumljivom imatelju podataka; |
| (b) | precizan je u pogledu vrste traženih podataka i odgovara podacima nad kojima imatelj podataka ima kontrolu u trenutku podnošenja zahtjeva; |
| (c) | razmjeran je iznimnoj potrebi i propisno obrazložen s obzirom na granularnost i količinu traženih podataka te učestalost pristupa traženim podacima; |
| (d) | poštuje legitimne ciljeve imatelja podataka, uz preuzimanje obveze osiguravanja zaštite poslovnih tajni u skladu s člankom 19. stavkom 3., te uzimajući u obzir troškove i trud potrebne za stavljanje podataka na raspolaganje; |
| (e) | odnosi se na neosobne podatke, a samo ako se dokaže da to nije dovoljno da se odgovori na iznimnu potrebu za uporabom podataka, u skladu s člankom 15. stavkom 1. točkom (a), zahtijeva osobne podatke u pseudonimiziranom obliku te utvrđuje tehničke i organizacijske mjere koje se moraju poduzeti radi zaštite podataka; |
| (f) | obavješćuje imatelja podataka o sankcijama koje u skladu s člankom 40. izriče nadležno tijelo imenovano u skladu s člankom 37. u slučaju neispunjavanja zahtjeva; |
| (g) | ako je zahtjev podnijelo tijelo javnog sektora, dostavlja se koordinatoru podataka iz članka 37. države članice u kojoj je tijelo javnog sektora koje je podnijelo zahtjev osnovano, koji zahtjev objavljuje na internetu bez nepotrebne odgode osim ako koordinator podataka smatra da bi takva objava ugrozila javnu sigurnost; |
| (h) | ako je zahtjev podnijela Komisija, Europska središnja banka ili tijelo Unije, stavlja se na raspolaganje na internetu bez nepotrebne odgode; |
| (i) | ako su zatraženi osobni podaci, o tome se bez nepotrebne odgode obavješćuje nadzorno tijelo odgovorno za praćenje primjene Uredbe (EU) 2016/679 u državi članici u kojoj je tijelo javnog sektora osnovano. |
Europska središnja banka i tijela Unije obavješćuju Komisiju o svojim zahtjevima.
3. Tijelo javnog sektora, Komisija, Europska središnja banka ili tijelo Unije podatke pribavljene na temelju ovog poglavlja ne stavlja na raspolaganje za ponovnu uporabu kako je definirana u članku 2. točki 2. Uredbe (EU) 2022/868 ili članku 2. točki 11. Direktive (EU) 2019/1024. Uredba (EU) 2022/868 i Direktiva (EU) 2019/1024 ne primjenjuju se na podatke u posjedu tijelâ javnog sektora pribavljene na temelju ovog poglavlja.
4. Stavkom 3. ovog članka ne sprečava se tijelo javnog sektora, Komisiju, Europsku središnju banku ili tijelo Unije da podatke pribavljene na temelju ovog poglavlja razmjenjuje s drugim tijelom javnog sektora ili Komisijom, Europskom središnjom bankom ili tijelom Unije radi obavljanja zadaća iz članka 15., kako je navedeno u zahtjevu u skladu sa stavkom 1. točkom (f) ovog članka, ili da podatke stavlja na raspolaganje trećoj strani ako su toj trećoj strani delegirali, u okviru javno dostupnog sporazuma, tehničke preglede ili druge funkcije. Obveze tijelâ javnog sektora u skladu s člankom 19., osobito zaštitne mjere za čuvanje povjerljivosti poslovnih tajni, primjenjuju se i na takve treće strane. Ako tijelo javnog sektora, Komisija, Europska središnja banka ili tijelo Unije dostavlja ili stavlja na raspolaganje podatke na temelju ovog stavka, o tome bez nepotrebne odgode obavješćuje imatelja podataka od kojeg su podaci primljeni.
5. Ako imatelj podataka smatra da su njegova prava na temelju ovog poglavlja povrijeđena prijenosom podataka ili stavljanjem podataka na raspolaganje, može podnijeti pritužbu nadležnom tijelu države članice u kojoj imatelj podataka ima poslovni nastan imenovanom u skladu s člankom 37.
6. Komisija izrađuje predložak za zahtjeve na temelju ovog članka.
Članak 18.
Ispunjavanje zahtjevâ za podatke
1. Imatelj podataka koji primi zahtjev za stavljanje podataka na raspolaganje na temelju ovog poglavlja bez nepotrebne odgode stavlja podatke na raspolaganje tijelu javnog sektora, Komisiji, Europskoj središnjoj banci ili tijelu Unije koje je podnijelo zahtjev, pri čemu uzima u obzir potrebne tehničke, organizacijske i pravne mjere.
2. Ne dovodeći u pitanje posebne potrebe u pogledu dostupnosti podataka definirane u pravu Unije ili u nacionalnom pravu, imatelj podataka može odbiti zahtjev za stavljanje podataka na raspolaganje na temelju ovog poglavlja ili zatražiti njegovu izmjenu bez nepotrebne odgode, a u svakom slučaju najkasnije pet radnih dana nakon primitka zahtjeva za dostavu podataka koji su potrebni kako bi se odgovorilo na izvanredno stanje te bez nepotrebne odgode i u svakom slučaju najkasnije 30 radnih dana nakon primitka takvog zahtjeva u drugim slučajevima iznimne potrebe na temelju bilo kojeg od sljedećih razloga:
| (a) | imatelj podataka nema kontrolu nad traženim podacima; |
| (b) | sličan zahtjev u istu svrhu prethodno je podnijelo drugo tijelo javnog sektora ili Komisija, Europska središnja banka ili tijelo Unije, a imatelj podataka nije obaviješten o brisanju podataka u skladu s člankom 19. stavkom 1. točkom (c); |
| (c) | zahtjev ne ispunjava uvjete utvrđene u članku 17. stavcima 1. i 2. |
3. Ako imatelj podataka odluči odbiti zahtjev ili zatražiti njegovu izmjenu u skladu sa stavkom 2. točkom (b), navodi koje je tijelo javnog sektora ili Komisija, Europska središnja banka ili tijelo Unije prethodno podnijelo zahtjev u istu svrhu.
4. Ako traženi podaci uključuju osobne podatke, imatelj podataka propisno anonimizira podatke, osim ako ispunjavanje zahtjeva za stavljanje podataka na raspolaganje tijelu javnog sektora, Komisiji, Europskoj središnjoj banci ili tijelu Unije iziskuje otkrivanje osobnih podataka. U takvim slučajevima imatelj podataka pseudonimizira podatke.
5. Ako tijelo javnog sektora, Komisija, Europska središnja banka ili tijelo Unije želi osporiti odbijanje imatelja podataka da dostavi tražene podatke, ili ako imatelj podataka želi osporiti zahtjev, a to se pitanje ne može riješiti odgovarajućom izmjenom zahtjeva, pitanje se upućuje nadležnom tijelu države članice u kojoj imatelj podataka ima poslovni nastan imenovanom u skladu s člankom 37.
Članak 20.
Naknada u slučaju iznimne potrebe
1. Imatelji podataka koji nisu mikropoduzeća i mala poduzeća besplatno stavljaju na raspolaganje podatke koji su potrebni kako bi se odgovorilo na izvanredno stanje u skladu s člankom 15. stavkom 1. točkom (a). Tijelo javnog sektora, Komisija, Europska središnja banka ili tijelo Unije koji su primili podatke odaju javno priznanje imatelju podataka ako to imatelj podataka zatraži.
2. Imatelj podataka ima pravo na poštenu naknadu za stavljanje podataka na raspolaganje slijedom ispunjavanja zahtjeva podnesenog u skladu s člankom 15. stavkom 1. točkom (b). Takva naknada pokriva tehničke i organizacijske troškove nastale zbog ispunjavanja zahtjeva, uključujući, ako je to primjenjivo, troškove anonimizacije, pseudonimizacije, agregiranja i tehničke prilagodbe te razumnu maržu. Na zahtjev tijela javnog sektora, Komisije, Europske središnje banke ili tijela Unije imatelj podataka pruža informacije o osnovi za izračun troškova i razumne marže.
3. Stavak 2. primjenjuje se i ako mikropoduzeće i malo poduzeće zatraže naknadu za stavljanje podataka na raspolaganje.
4. Imatelji podataka nemaju pravo na naknadu za stavljanje podataka na raspolaganje slijedom ispunjavanja zahtjeva podnesenog u skladu s člankom 15. stavkom 1. točkom (b) ako je specifična zadaća koja se obavlja u javnom interesu izrada službene statistike i ako kupnja podataka nije dopuštena nacionalnim pravom. Države članice obavješćuju Komisiju ako kupnja podataka za izradu službene statistike nije dopuštena nacionalnim pravom.
5. Ako se tijelo javnog sektora, Komisija, Europska središnja banka ili tijelo Unije ne složi s razinom naknade koju je zatražio imatelj podataka, može podnijeti pritužbu nadležnom tijelu države članice u kojoj imatelj podataka ima poslovni nastan imenovanom u skladu s člankom 37.
Članak 21.
Dijeljenje podataka pribavljenih u kontekstu iznimne potrebe s istraživačkim organizacijama ili tijelima za statistiku
1. Tijelo javnog sektora, Komisija, Europska središnja banka ili tijelo Unije ima pravo dijeliti podatke dobivene na temelju ovog poglavlja:
| (a) | s pojedincima ili organizacijama radi provođenja znanstvenih istraživanja ili analiza usklađenih sa svrhom u koju su podaci zatraženi; ili |
| (b) | s nacionalnim zavodima za statistiku i Eurostatom radi izrade službene statistike. |
2. Pojedinci ili organizacije koji prime podatke na temelju stavka 1. moraju djelovati na neprofitnoj osnovi ili u kontekstu misije javnog interesa priznate u pravu Unije ili nacionalnom pravu. To ne uključuje organizacije na koje komercijalna poduzeća imaju znatan utjecaj, što vjerojatno može rezultirati povlaštenim pristupom rezultatima istraživanja.
3. Pojedinci ili organizacije koji prime podatke na temelju stavka 1. ovog članka moraju ispunjavati iste obveze koje se primjenjuju na tijela javnog sektora, Komisiju, Europsku središnju banku ili tijela Unije na temelju članka 17. stavka 3. i članka 19.
4. Neovisno o članku 19. stavku 1. točki (c), pojedinci ili organizacije koji prime podatke na temelju stavka 1. ovog članka mogu zadržati podatke primljene u svrhu u koju su podaci zatraženi najviše šest mjeseci nakon što tijela javnog sektora, Komisija, Europska središnja banka i tijela Unije izbrišu te podatke.
5. Ako tijelo javnog sektora, Komisija, Europska središnja banka ili tijelo Unije podatke namjerava dostaviti ili staviti na raspolaganje na temelju stavka 1. ovog članka, o tome bez nepotrebne odgode obavješćuje imatelja podataka od kojeg su podaci primljeni te navodi identitet i podatke za kontakt organizacije ili pojedinca koji primaju podatke, svrhu dostave podataka ili stavljanja podataka na raspolaganje, razdoblje u kojem se podaci trebaju upotrebljavati te poduzete mjere tehničke zaštite i organizacijske mjere, među ostalim i ako je riječ o osobnim podacima ili poslovnim tajnama. Ako se imatelj podataka ne slaže s dostavom podataka ili stavljanjem podataka na raspolaganje, može podnijeti pritužbu nadležnom tijelu države članice u kojoj imatelj podataka ima poslovni nastan imenovanom u skladu s člankom 37.
Članak 22.
Uzajamna pomoć i prekogranična suradnja
1. Tijela javnog sektora, Komisija, Europska središnja banka i tijela Unije surađuju i međusobno si pomažu s ciljem dosljedne provedbe ovog poglavlja.
2. Podaci razmijenjeni u kontekstu pomoći zatražene i pružene na temelju stavka 1. ne smiju se upotrebljavati na način koji nije u skladu sa svrhom u koju su zatraženi.
3. Ako tijelo javnog sektora namjerava zatražiti podatke od imatelja podataka s poslovnim nastanom u drugoj državi članici, o toj namjeri najprije obavješćuje nadležno tijelo u toj državi članici imenovano u skladu s člankom 37. Ta se obveza primjenjuje i na zahtjeve Komisije, Europske središnje banke i tijelâ Unije. Zahtjev razmatra nadležno tijelo države članice u kojoj imatelj podataka ima poslovni nastan.
4. Nakon razmatranja zahtjeva s obzirom na uvjete utvrđene u članku 17., relevantno nadležno tijelo bez nepotrebne odgode poduzima jednu od sljedećih radnji:
| (a) | dostavlja zahtjev imatelju podataka i, ako je to primjenjivo, savjetuje tijelo javnog sektora, Komisiju, Europsku središnju banku ili tijelo Unije koje je podnijelo zahtjev o potrebi, ovisno o slučaju, da surađuje s tijelima javnog sektora države članice u kojoj imatelj podataka ima poslovni nastan kako bi se smanjilo administrativno opterećenje za imatelja podataka pri ispunjavanju zahtjeva; |
| (b) | odbija zahtjev zbog propisno obrazloženih razloga, u skladu s ovim poglavljem. |
Tijelo javnog sektora, Komisija, Europska središnja banka i tijelo Unije koje je podnijelo zahtjev uzima u obzir savjete relevantnog nadležnog tijela i razloge koje je to tijelo navelo u skladu s prvim podstavkom prije poduzimanja bilo kakve daljnje radnje kao što je ponovno podnošenje zahtjeva, ako je to primjenjivo.
POGLAVLJE VI.
PROMJENA USLUGE OBRADE PODATAKA
Članak 37.
Nadležna tijela i koordinatori podataka
1. Svaka država članica imenuje jedno ili više nadležnih tijela koja će biti odgovorna za primjenu i izvršavanje ove Uredbe (nadležna tijela). Države članice mogu osnovati jedno ili više novih tijela ili se mogu osloniti na postojeća tijelima.
2. Ako država članica imenuje više nadležnih tijela, među njima imenuje koordinatora podataka kako bi olakšala suradnju među nadležnim tijelima i pomogla subjektima obuhvaćenima područjem primjene ove Uredbe u vezi sa svim pitanjima koja se odnose na primjenu i izvršavanje. Nadležna tijela surađuju međusobno pri izvršavanju svojih zadaća i ovlasti koje su im dodijeljene na temelju stavka 5.
3. Nadzorna tijela odgovorna za praćenje primjene Uredbe (EU) 2016/679 odgovorna su za praćenje primjene ove Uredbe u mjeri u kojoj se to odnosi na zaštitu osobnih podataka. Poglavlja VI. i VII. Uredbe (EU) 2016/679 primjenjuju se mutatis mutandis.
Europski nadzornik za zaštitu podataka odgovoran je za praćenje primjene ove Uredbe u mjeri u kojoj se ona odnosi na Komisiju, Europsku središnju banku ili tijela Unije. Ako je to relevantno, članak 62. Uredbe (EU) 2018/1725 primjenjuje se mutatis mutandis.
Zadaće i ovlasti nadzornih tijela iz ovog stavka izvršavaju se s obzirom na obradu osobnih podataka.
4. Ne dovodeći u pitanje stavak 1. ovog članka:
| (a) | u vezi s posebnim sektorskim pitanjima pristupa podacima i uporabe podataka povezanima s primjenom ove Uredbe poštuje se nadležnost sektorskih tijela; |
| (b) | nadležno tijelo odgovorno za primjenu i izvršavanje članaka od 23. do 31. te članaka 34. i 35. mora imati iskustvo u području podataka i elektroničkim komunikacijskim uslugama. |
5. Države članice osiguravaju da su zadaće i ovlasti nadležnih tijela jasno definirane i da uključuju:
| (a) | promicanje podatkovne pismenosti i informiranje korisnika i subjekata obuhvaćenih područjem primjene ove Uredbe o pravima i obvezama koji se na njoj temelje; |
| (b) | rješavanje pritužaba koje proizlaze iz navodnih povreda ove Uredbe, među ostalim u vezi s poslovnim tajnama, i istraživanje predmeta pritužaba, u mjeri u kojoj je to primjereno, te redovito obavješćivanje podnositelja pritužaba, ako je to relevantno u skladu s nacionalnim pravom, o napretku i ishodu istrage, i to u razumnom roku, posebno ako je potrebna daljnja istraga ili koordinacija s drugim nadležnim tijelom; |
| (c) | provedbu istraga o pitanjima koja se odnose na primjenu ove Uredbe, među ostalim na temelju informacija primljenih od drugog nadležnog tijela ili drugog tijela javne vlasti; |
| (d) | izricanje učinkovitih, proporcionalnih i odvraćajućih financijskih sankcija koje mogu uključivati periodične sankcije i sankcije s retroaktivnim učinkom, ili pokretanje sudskih postupaka radi izricanja novčanih kazni; |
| (e) | praćenje tehnološkog i relevantnog komercijalnog razvoja koji je važan za stavljanje podataka na raspolaganje i njihovu uporabu; |
| (f) | suradnju s nadležnim tijelima drugih država članica i, ako je relevantno, s Komisijom ili EDIB-om, radi osiguravanja dosljedne i učinkovite primjene ove Uredbe, među ostalim i razmjene svih relevantnih informacija elektroničkim putem, bez nepotrebne odgode, među ostalim i u pogledu stavka 10. ovog članka; |
| (g) | suradnju s relevantnim nadležnim tijelima odgovornima za provedbu drugih pravnih akata Unije ili nacionalnih pravnih akata, među ostalim i s tijelima nadležnima u području podataka i za elektroničke komunikacijske usluge, s nadzornim tijelom odgovornim za praćenje primjene Uredbe (EU) 2016/679 ili sa sektorskim tijelima, kako bi se osiguralo dosljedno izvršavanje ove Uredbe u odnosu na drugo pravo Unije i nacionalno pravo; |
| (h) | suradnju s relevantnim nadležnim tijelima kako bi se osiguralo dosljedno izvršavanje članaka od 23. do 31. te članaka 34. i 35. u odnosu na drugo pravo Unije i samoregulaciju koji se primjenjuju na pružatelje usluga obrade podataka; |
| (i) | osiguravanje da se naknade za promjenu ukinu u skladu s člankom 29.; |
| (j) | razmatranje zahtjeva za podatke podnesenih na temelju poglavlja V. |
Ako je imenovan, koordinator podataka olakšava suradnju iz prvog podstavka točaka (f), (g) i (h) i pomaže nadležnim tijelima na njihov zahtjev.
6. Koordinator podataka, ako je takvo nadležno tijelo imenovano:
| (a) | djeluje kao jedinstvena kontaktna točka za sva pitanja povezana s primjenom ove Uredbe; |
| (b) | osigurava da su na internetu javno dostupni zahtjevi za stavljanje podataka na raspolaganje koje su podnijela tijela javnog sektora u slučaju iznimne potrebe iz poglavlja V. i promiče dobrovoljne sporazume o dijeljenju podataka između tijelâ javnog sektora i imateljâ podataka; |
| (c) | jednom godišnje obavješćuje Komisiju o odbijanjima o kojima je obaviješteno na temelju članka 4. stavaka 2. i 8. te članka 5. stavka 11. |
7. Države članice obavješćuju Komisiju o nazivima nadležnih tijela te o njihovim zadaćama i ovlastima te, ako je to primjenjivo, o nazivu odnosno imenu koordinatora podataka. Komisija vodi javni registar tih tijela.
8. Pri obavljanju svojih zadaća i izvršavanju svojih ovlasti u skladu s ovom Uredbom nadležna tijela nepristrana su i nisu pod vanjskim utjecajem, bilo izravnim ili neizravnim, te ne traže niti primaju upute u pogledu pojedinačnih slučajeva od nijednog drugog tijela javne vlasti odnosno nijedne privatne strane.
9. Države članice osiguravaju da nadležna tijela raspolažu dostatnim ljudskim i tehničkim resursima i relevantnim stručnim znanjem za djelotvorno obavljanje svojih zadaća u skladu s ovom Uredbom.
10. Subjekti obuhvaćeni područjem primjene ove Uredbe podliježu nadležnosti države članice u kojoj imaju poslovni nastan. Ako subjekt ima poslovni nastan u više država članica, smatra se da je u nadležnosti države članice u kojoj ima glavni poslovni nastan, odnosno u kojoj ima mjesto poslovanja ili registrirano sjedište iz kojeg se obavljaju glavne financijske funkcije i operativna kontrola.
11. Svi subjekti koji su obuhvaćeni područjem primjene ove Uredbe i koji stavljaju povezane proizvode na raspolaganje ili nude usluge u Uniji, a nemaju poslovni nastan u Uniji, moraju imenovati pravnog zastupnika u jednoj od država članica.
12. Za potrebe osiguravanja usklađenosti s ovom Uredbom subjekt obuhvaćen područjem primjene ove Uredbe koji stavlja povezane proizvode na raspolaganje ili nudi usluge u Uniji ovlašćuje pravnog zastupnika kako bi se osim tom subjektu ili umjesto njemu nadzorna tijela obraćala tom pravnom zastupniku u vezi sa svim pitanjima povezanima s tim subjektom. Taj pravni zastupnik surađuje s nadležnim tijelima i na zahtjev im pruža sveobuhvatan prikaz mjera i radnji koje je poduzeo subjekt koji je obuhvaćen područjem primjene ove Uredbe i koji stavlja povezane proizvode na raspolaganje ili nudi usluge u Uniji kako bi osigurao usklađenost s ovom Uredbom.
13. Smatra se da je subjekt koji je obuhvaćen područjem primjene ove Uredbe i koji stavlja povezane proizvode na raspolaganje ili nudi usluge u Uniji u nadležnosti države članice u kojoj se nalazi njegov pravni zastupnik. Imenovanjem pravnog zastupnika od strane takvog subjekta ne dovode se u pitanje odgovornost takvog subjekta i bilo kakvi pravni postupci koji bi mogli biti pokrenuti protiv takvog subjekta. Dok subjekt ne imenuje pravnog zastupnika u skladu s ovim člankom u nadležnosti je svih država članica, ako je to primjenjivo, za potrebe osiguravanja primjene i izvršavanja ove Uredbe. Svako nadležno tijelo može izvršavati svoju nadležnost, među ostalim izricanjem učinkovitih, proporcionalnih i odvraćajućih sankcija, pod uvjetom da subjekt nije predmetom drugog postupka izvršavanja na temelju ove Uredbe, koji vodi drugo nadležno tijelo zbog istih činjenica.
14. Nadležna tijela ovlaštena su od korisnika, imatelja podataka ili primatelja podataka, ili njihovih pravnih zastupnika, koji su u nadležnosti njihove države članice zatražiti sve informacije potrebne za provjeru usklađenosti s ovom Uredbom. Svaki zahtjev za informacije mora biti razmjeran izvršenju povezane zadaće i obrazložen.
15. Ako nadležno tijelo u jednoj državi članici traži pomoć ili mjere izvršavanja od nadležnog tijela u drugoj državi članici, ono podnosi obrazložen zahtjev. Nadležno tijelo po primitku takvog zahtjeva bez nepotrebne odgode dostavlja odgovor u kojem navodi koje su radnje poduzete ili se planiraju poduzeti.
16. Nadležna tijela poštuju načela povjerljivosti i čuvanja profesionalne i poslovne tajne te štite osobne podatke u skladu s pravom Unije ili nacionalnim pravom. Sve informacije razmijenjene u kontekstu zahtjeva za pomoć i pružene u skladu s ovim člankom smiju se upotrebljavati samo u vezi s onim pitanjem za koje su zatražene.
whereas